静态动态数据认证联机脱机认证国密算法国密规范加密机密钥体系 - 加解密

一、静态动态数据认证

1、静态数据认证SDA，使用密钥对静态数据做签名，主要目的是防止篡改；

2、动态数据认证DDA，使用密钥对动态数据做签名，主要目的是防止重放；

二、联机脱机认证

1、联机认证，终端设备要联网才能做卡片认证，必须联网使用；

2、脱机认证，终端设备可以不联网做卡片认证，支持离线使用；

三、国家部门性质

1、人民银行，国务院组成部门

2、市场监督管理总局，国务院直属机构

3、银保监会，国务院直属事业单位

4、国密局，部委管理局

四、国密算法

1、SM4对应国际算法DES对称加密算法；

2、SM2对应国际算法RSA非对称加密算法；

3、SM3对应国际算法MD5等消息摘要算法；

4、openssl和bcprov都支持国密算法；

5、加密算法ID：SM2，1.2.156.10197.1.301

6、签名算法ID：SM2-with-SM3，1.2.156.10197.1.501

7、国密安全套接字MAC算法是SM3-HMAC；

国密算法细节：

1、国密签名结果默认是R+S，分别是32字节，结果一共是64字节；

2、可以使用DER对签名结果进行编码，这样签名结果大于64字节；

五、国密规范

1、网信办规范：https://www.cac.gov.cn

2、信安标委规范：https://www.tc260.org.cn

3、国密局认证查询：http://service.scctc.org.cn

5、金融标准全文查询：https://cfstc.pbc.gov.cn/bzgk

国密规范：

1、GM/T 0028-2014，密码模块安全技术要求；

2、GB/T 37092-2018，密码模块安全要求；

3、GB/T 39786-2021，信息系统密码应用基本要求；

4、GM/T 0024-2014，SSL VPN 技术规范，基于RFC 4346 TLSv1.1修改而来；

5、GB/T 38636-2020，信息安全技术传输层密码协议（TLCP），TLCP和0024差别不大；

6、蚂蚁SSL标准，TLSv1.3+国密单证书正式被国际标准承认，并且以RFC 8998标准发布；

等保：网络安全等级保护，对敏感信息和存储、传输、处理这些信息的信息系统分等级实行安全保护；

密评：商用密码应用安全性评估，对采用商用密码建设的信息系统密码应用的合规性、正确性、有效性进行评估；

六、加密机密钥体系

PIN，密码
MAC，消息认证码

HSM，硬件加密机

第一层：LMK
Local Master Key，本地主密钥。

第二层：ZMK、TMK
ZMK，Zone Master Key，区域主密钥。
TMK，Terminal Master Key，终端主密钥。

第三层：ZPK、ZAK、TPK、TAK
ZPK，Zone PIN Key，区域PIN密钥。

ZAK，Zone Authentication Key，区域认证密钥。

TPK，Terminal PIN encryption Key，终端PIN密钥。

TAK，Terminal Administrative Key，终端认证密钥。

ZMK签到之后获取ZPK和ZAK，TMK签到之后获取TPK和TAK。

TPK加密的银行密码需要经过ZPK转加密，然后送到银行后台系统。
网银密码传输使用非对称密钥加密，需要经过ZPK转加密，然后送到银行后台系统。